功歸一載��,利在千秋——《網絡安全法》的前生今世
2003年�����,中辦23號文《國家信息化領導小組關于加強信息安全保障工作的意見》提出“抓緊研究起草《信息安全法》”的要求。
2008年�,國務院信息辦職能整體劃轉至工業和信息化部�����,有關方面意識到制定條例未必就比人大立法容易,且國務院行政法規無力調整現行上位法的法律規定,遂決定返回制定信息安全法��。
2014年����,中央網絡安全和信息化領導小組成立后,網絡安全就被提到了前所未有的高度。以依法治網為例,國家先后出臺“微信十條”“約談十條”����,推動網站依法辦網���?����!皟艟W”“劍網”“護苗”等專項整治活動相繼展開,“七條底線”“賬號十條”引導網民依法上網��,樁樁件件推動依法治網成為“新常態”��。
2015年6月���,第十二屆全國人大常委會第十五次會議初次審議了《中華人民共和國網絡安全法(草案)》。
2015年7月6日起,網絡安全法草案在中國人大網上全文公布��,并向社會公開征求意見��。征求意見截止日期為2015年8月5日�。
2016年11月7日,全國人民代表大會常務委員會于表決通過了網絡安全法,標志著我國網絡領域步入了一個全新的法治時代����。
2017年6月1日���,《網絡安全法》正式施行��。
企業和個人,不得不知的相關條款
公眾對于網絡安全的訴求是:個人信息不被泄露。
企業對于信息安全的訴求是:公司信息不被竊取���,不能泄露,關鍵性技術信息不可以被廣泛傳播。
《網絡安全法》亮點
《網絡安全法》正式施行��,呈現六大亮點:
1�����、明確了網絡空間主權的原則���;
2��、明確了網絡產品和服務提供者的安全義務;
3����、明確了網絡運營者的安全義務��;
4、進一步完善了個人信息保護規則;
5、建立了關鍵信息基礎設施安全保護制度�����;
6����、確立了關鍵信息基礎設施重要數據跨境傳輸的規則�。
企業和個人不得不知道的條款
2016年我們的網民總數量已經超過的7億。但是���,根據中國互聯網協會發布的《中國網民權益保護調查報告(2015)》,63.4%的網民通話記錄����、網上購物記錄等信息遭泄露;78.2%的網民個人身份信息曾遭泄露����,因個人信息泄露�����、垃圾信息���、詐騙信息等導致的總體損失約805億元�����。當信息被信息黑市交易,個人會遭受損失�,企業的經營活動會被脅迫和勒索��,國家的安全將會受到威脅。
《網絡安全法》共計七十九條�,對網絡安全各方面事項行了規定����。接下來我們從安全企業和個人信息保護的視角重點關注網安法以下條款:
《網絡安全法》第二十一條——將等級保護制度上升到了法律高度��。其中提到幾個重點的信息包括:采取防范計算機病毒和網絡攻擊、網絡侵入等危害網絡安全行為的技術措施����;采取監測����、記錄網絡運行狀態����、網絡安全事件的技術措施���,并留存網絡日志不少于六個月����;采取數據分類�、重要數據備份和加密等措施。
《信息安全等級保護管理辦法》將網絡安全進行了等級劃分��,共分為五個保護等級��。以三級等保為例�����,其中要求安全產品必須有國內公司研制,產品核心技術有我國自主知識產權�?��;旧蠂衅髽I和大型企業�,都在三級等?����;蚴侨壱陨系缺5姆秶鷥龋@將是國產安全公司的機會,以安華金和為例,從成立至今始終以技術研發為導向�����,從產品到技術都是建立在自主知識產權之上�。
《網絡安全法》第二十三條規定了安全產品要經檢測:網絡關鍵設備和網絡安全專用產品應當按照相關國家標準的強制性要求,由具備資格的機構安全認證合格或者安全檢測符合要求后,方可銷售或提供。該條款的含義�����,就是要正規化�,對不具備檢測要求的廠商基本宣布了死刑。
《網絡安全法》第二十三條規定了實名制,要求網絡運營者為用戶辦理網絡接入、域名注冊服務,辦理固定電話�、移動電話等入網手續����,或者為用戶提供信息發布���、即時通訊等服務時�����,應當要求用戶提供真實身份信息�����。該條款可以有效遏止網絡詐騙、電信詐騙等行為。
《網絡安全法》第二十七條明確規定:不得提供專門用于從事侵入網絡�、干擾網絡正常功能及防護措施����、竊取網絡數據等危害網絡安全活動的程序�、工具;明知他人從事危害網絡安全的活動的,不得為其提供技術支持��、廣告推廣�����、支付結算等幫助。過去����,一些涉及網絡安全的案件難以被定責�,如今該條款的存在��,明確界定了網絡犯罪的范圍和罪責�����。
《網絡安全法》第三十一條,規定對關鍵信息基礎設施的運行安全��,進行重點保護��?����!?國家對公共通信和信息服務�、能源��、交通��、水利、金融、公共服務���、電子政務等重要行業和領域,以及其他一旦遭到破壞、喪失功能或者數據泄露�����,可能嚴重危害國家安全����、國計民生��、公共利益的關鍵信息基礎設施��,在網絡安全等級保護制度的基礎上,實行重點保護����。關鍵信息基礎設施的具體范圍和安全保護辦法由國務院制定���。
國家鼓勵關鍵信息基礎設施以外的網絡運營者自愿參與關鍵信息基礎設施保護體系�?��!?/p>
本條款強調了必須落實網絡安全等級保護制度��,并進行重點保護�����。等級保護與關鍵信息基礎設施之間的關系是相輔相成的,每一個不同的級別對基本的網絡安全技術細節也做了說明��。并非每一個安全公司�,都有能力服務于有等保要求的企業,安華金和作為國內數據庫安全領域的領導企業����,擁有兩大信息安全政策領域獨特領先優勢��,擁有等保專用數據庫風險等級評估檢測工具,產品與解決方案符合網絡安全法和等保要求�。
《網絡安全法》第四十一條規定�,網絡運營者收集��、使用個人信息,應當遵循合法、正當、必要的原則���,公開收集、使用規則,明示收集���、使用信息的目的、方式和范圍�,并經被收集者同意�。
網絡運營者不得收集與其提供的服務無關的個人信息����,不得違反法律、行政法規的規定和雙方的約定收集��、使用個人信息�����,并應當依照法律�����、行政法規的規定和與用戶的約定,處理其保存的個人信息。
本條款強化了個人信息保護的知情同意和特定目的原則��;確定了網絡運營者收集個人信息必須遵循合法����、正當��、必要原則,強調了個人信息收集過程中的透明度��,和用戶自主選擇權���,同時強調了信息采集者必須合法使用和保存個人信息���。那些利用其“壟斷地位”或“霸王條款”強制用戶同意采集信息的網絡運營者需要注意啦�,再如此任性可就違法啦����。
《網絡安全法》第四十二條規定:網絡運營者不得泄露、篡改�、毀損其收集的個人信息�;未經被收集者同意���,不得向他人提供個人信息����。但是,經過處理無法識別特定個人且不能復原的除外。
網絡運營者應當采取技術措施和其他必要措施�,確保其收集的個人信息安全�,防止信息泄露��、毀損����、丟失���。在發生或者可能發生個人信息泄露����、毀損、丟失的情況時,應當立即采取補救措施�,按照規定及時告知用戶并向有關主管部門報告���。
本條款也被稱作“大數據條款”��,在強調保護個人信息的同時,有建設性的提出了“經過處理無法識別特定個人且不能復原的”除外�����,為個人信息數據在使用�����、交換和交易過程的合法性提供了法律依據,并要求:個人信息數據匿名化處理�,技術上就是通過采用數據脫敏產品或技術手段���,將涉及個人隱私的敏感數據進行脫敏處理�,保證脫敏后的數據不能再識別出特定個人����,并且信息不可逆(不可通過技術手段復原)。
另外�,脫敏技術也可以被應用在日常的數據維護過程中��,對于金融、醫療健康�、零售�、游戲等需要收集大量用戶個人信息的網絡系統����,在系統數據庫日常維護過程中同樣需要防止個人隱私數據的泄漏,通過采用具有動態脫敏能力的產品或技術手段�����,可以有效地避免數據泄露����,降低運維安全風險����,更為運維者提供了免責的技術保障��。
同時,本條款作為個人信息保護的核心內容��,明確了網絡運營者對個人信息保護的責任:有必要采取技術措施保護個人信息�,確保其收集的個人信息安全,通過采用監控����、審計等技術手段及時發現和記錄異常行為��,為主管部門進行追責和定責提供數據依據。建議網絡運營者采用專門的安全產品保護個人信息:數據脫敏系統(最好具有動態脫敏能力)�、數據安全運維系統(最好具有監控和審計能力)
公民個人信息的主要泄露途徑是網絡���,個人信息泄露問題嚴重,會直接造成網絡詐騙多發態勢,嚴重危及到人民群眾的財產安全乃至生命安全��。不堪網絡詐騙而自殺的事件頻見報端,引發社會輿論的強烈反響。打擊網絡犯罪,成為沸騰的民意��。
針對個人信息泄露和網絡詐騙問題,《網絡安全法》第四十四條明確規定:任何個人和組織不得竊取或者以其他非法方式獲取個人信息,不得非法出售或者非法向他人提供個人信息���。違者將可能被追究民事責任或刑事責任����。相信《網絡安全法》的正式實施將大力打擊個人信息泄露和買賣現象。
推動安全行業發展
《網絡安全法 》的出臺���,必將促進安全行業的發展。國家以法律的形式開始定義和宣傳網絡安全觀念�����,培養公眾的安全意識�。這樣就為安全行業的發展提供了更加有序的空間。也必將帶來一系列的行業規范生成�����,促進各個行業的安全意識增強����。作為信息安全事業的一份子���,安華金和將遵照《網絡安全法》精神�����,為打造安全而自由的數據使用生態而不懈努力�。
產品咨詢:4000 258 365 
